浅析服务器虚拟化常见的安全隐患及其防范措施

摘 要：目前，随着我国互联网技术的不断发展，服务器虚拟化在计算机中的应用不断增加，尤其是在云计算等大数据领域中，服务器虚拟化的应用使其运转效率和数据整合等能力得到了显著提高，但是随着服务器虚拟化的应用规模不断扩大，常见的安全隐患也逐渐显露。因此，本文将针对服务器虚拟化常见的安全隐患及其防范措施进行探究。

关键词：服务器；虚拟化；安全隐患；防范措施

中图分类号：TP309 文献标识码：A 文章编号：2096-4706（2018）11-0153-02

Analysis of Common Security Risks and Preventive Measures of Server Virtualization

XIE Yiping，ZHAO Danrui

（Guangzhou Railway Polytechnic，Guangzhou 510430，China）

Abstract：At present，with the continuous development of Internet technology in China，the application of server virtualization in computer is increasing. Especially in the field of cloud computing and other data fields，the application of server virtualization makes its operation efficiency and data integration ability improved significantly，but with the application of server virtualization. As the scale continues to expand，common security risks are also gradually revealed. Therefore，this article will explore the common security risks and preventive measures of server virtualization.

Keywords：server；virtualization；security risks；preventive measures

0 引 言

服务器虚拟化主要是将计算机内的硬件虚拟化成通过逻辑表达的软件。目前，我国许多服务器的运行负载小于15%，服务器规模远大于实际所需要的规模，同时计算机内硬件的IT架构过于庞杂，导致服务器运行效率低。服务器虚拟化形式多样，可以将一台服务器虚拟化成多台服务器，或者将多个服务器虚拟化成一个逻辑服务器，又或者将多台服务器虚拟化成一台服务器后，再继续将其分散到多个虚拟环境中，采用这种“一虚多”、“多虚一”或“多虚多”的方式实现服务器虚拟化有很多好处，一方面能满足计算机系统的多种需要，另一方面能够提高系统运转效率，节省物理空间，简化管理系统，同时虚拟化的平台拥有负载均衡、动态迁移和故障自动隔离等功能，使服务器的稳定性大大提高。然而服务器虚拟化的应用也存在着许多传统服务器并不存在安全隐患，同时隐蔽性较强，无论是修复难度还是修复成本都较大。因此，本文将针对服务器虚拟化常见的安全隐患，提出相应的防范措施。

1 服务器虚拟化常见的安全隐患

1.1 信息安全泄露风险

目前，服务器虚拟化的应用规模正在逐渐扩大，在为我们带来便利的同时，也使服务器内的资源被盗取的风险增加，相关研究数据显示，有一半以上的虚拟化服务器比其替代的物理服务器安全性能更低。Gartner会议研究的数据显示，在进行服务器虚拟化项目的初始阶段，并不是所有项目都关注信息安全保护。一般情况下，运营团队由于将更多精力集中于数据的备份和恢复，从而忽视了信息安全的管理。这样一来，不仅使安全问题发生率升高，同时由于服务器虚拟化的特殊性，安全问题一旦发生，其定位分析过程也会比传统服务器更加复杂和困难。

1.2 所有托管虚拟机都会受底层虚拟化平台漏洞影响

通过虚拟化平台，物理服务器实现了自身虚拟化。这种新型技术导致其不可避免地存在漏洞，而这些漏洞通常是技术人员容易忽视或难以发现的。目前，许多知名虚拟化平台频频被爆出存在安全隐患，由于服务器虚拟化平台本身就存在漏洞，当黑客进入虚拟化程序时，就可以利用底层虚拟化平台漏洞进行攻击和逃逸。通过宿主服务器执行恶意程序，使宿主服务器关联的所有托管虚拟机遭到控制或攻击，导致宿主服务器网络访问权限和私密信息面临泄露的风险。

1.3 现有安全策略受虚拟机之间的虚拟性限制

虚拟机之间的虚拟网络的可见性和可控性都很差，这就导致现有的安全策略难以实施。目前，市面上主要通过在物理服务器内创立网卡和虚拟交换机来实现虚拟机间的相互通信，具体操作通过模拟网络通信和数据交换能力，进一步实现虚拟化平台的网络虚拟化。网络入侵检测防御系统、防火墙和网络流量控制监控系统等基础网络安全保护设备的保护范围被称作物理服务器的进出流量或南北流量，虚拟机之间的隐性的网络流量被称作东西流量。

1.4 未将同一物理服务器内安全等级不同的虚拟机进行隔离

目前，为了提升软件全面虚拟化，同时节约制作成本及提高工作效率，业务系统将更多重要和关键的系统安装在安全等级高的虚拟机中，但是安全等级高的虚拟机与安全等级低的虚拟机同时处在同一个物理服务器内，且没有进行隔离，这样就会导致虚拟机的安全等级受到影响，且高安全等级的虚拟机被低安全等级的虚拟机限制。

1.5 虚拟机管理程序在安全访问中的控制性缺乏

虚拟机管理程序的功能主要是对虚拟机进行规划、部署和管理，同时对虚拟基础结构等端到端功能进行相应的管理和优化，因此在对虚拟机管理程序进行安全访问时，必须注意严格控制。如果网络配置中缺乏相应的安全访问控制，黑客可能会利用IP地址控制虚拟机管理程序，此时即使黑客破解虚拟机管理程序的登录口令困难，也仍然可以进行分布式拒绝服务攻击，此时如果虚拟机管理程序资源消耗完全，那么管理程序中的虚拟机也将无法继续运行。

2 服务器虚拟化常见安全隐患的相关防范措施

2.1 提高对虚拟化平台安全问题的重视程度

首先，虚拟化平台相关管理人员一定要意识到虚拟化平台安全问题的重要性，从根本上保障虚拟化平台的安全性；其次，在虚拟化平台中，其安全问题比传统服务器的安全问题更为重要，虚拟化平台融合运算、存储、网络等多方面于一体，这使得虚拟化安全的广度和复杂性更强，在进行虚拟化项目引入初始阶段时，就要注重安全技术的应用，全方位地考虑和调查虚拟化平台可能存在的安全隐患，同时进一步提出相应的解决方案。

2.2 修补虚拟化平台漏洞

目前，虚拟化平台漏洞需要特权等级，因此破坏者会利用提升特权等级的方式破坏其承载的虚拟机。为提高虚拟化平台IT安全性，同时便于其管理，一方面可以让虚拟化平台供应商提供检测工具或协助扫描，旨在找出虚拟化平台存在的漏洞与缺陷，同时尽快修缮，安装补丁；另一方面，可以通过将虚拟化平台底层硬件架构变薄的方式，简化虚拟化平台，同时修改和更改参数权限，使其配置参数在未经同意的情况下无法修改。

2.3 加强网络流量监测，实现虚拟机网络流量可视化

首先，可通过收集器将虚拟网络流量进行收集，然后通过网络性能监控工具进行数据分析；其次，需要通过协议分析器的端口镜像方式，对虚拟网络流量中的数据进行深层次的分析；最后，利用网络流量监测设施实现服务器内虚拟机流量、服务器间虚拟机流量和虚拟机到物理基础设施流量的可视化管理，同时实施监管服务器的运行和网内的异常流量，精准查找问题流量源，对存在的问题加强排查。

2.4 不同安全等级的虚拟机设置相应隔离

在进行虚拟化架构的部署时，需要把虚拟化网络划分为两部分，即Inside区域与Outside区域。Inside区域包括所有虚拟业务，可使用VLAN将不同类型的业务系统进行划分，同时在VSG上配置虚拟机网关，VSG使手机集群中服务器的所有流量虚拟化，进一步实现各个虚拟机在各自安全域中的有效隔离。另外，由于一个安全域中的所有系统经受着同等程度的安全风险，因此，高价值的资产与低价值的资产不应位于一个安全域内，这样即使某一安全域受到破坏，其他安全域并不会受到影响。

2.5 增加加密通讯、身份验证等一系列访问限制管理程序

首先，在增加相应访问限制管理程序时，应使用HTTPS、TLS或加密VPN等方式对登录虚拟机的管理程序权限进行设置，以避免源IP地址遭到攻击，同时需完善登录时身份验证的机制，例如登录次数与登陆时长的限制等；其次，在对虚拟化平台用户进行管理时，需根据角色的管理职责给予相应权限，当出现需要临时登录虚拟化平台的用户时，需要提供临时账号，当相关工作结束后，将账号回收，便于循环使用，同时可通过引入第三方工具来实时测评虚拟化平台监管是否存在问题，评估其安全性和有效性。

3 结 论

我国互联网技术正处在高速蓬勃发展时期，服务器虚拟化作为这一领域中的新兴技术，在给各行各业带来便利和提高效率的同时，也存在着许多安全隐患。本文通过列举服务器虚拟化中常见的安全隐患，并进一步提出防范措施，旨在推动我国服务器虚拟化技术的发展，进而推动我国科技、经济、文化等领域的发展。

参考文献：

[1] 韩伟.服务器虚拟化常见安全隐患及防范 [J].中国管理信息化，2017，20（23）.

[2] 唐彦，肖亮.服务器虚拟化关键技术探析 [J].数字通信，2012，39（3）.

作者简介：谢艺平（1987.03-），男，汉族，广东河源龙川人，实验员，实验师，硕士。研究方向：虚拟化云计算、数据恢复。